路由设备身份认证方法及装置制造方法及图纸

本发明专利技术提供了路由设备身份认证方法及装置，该方法应用于同一因特网服务提供商ISP所管辖域内的路由设备认证，包括：第一路由设备收到第二路由设备的身份证书时，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书；若是，所述第一路由设备查询到所述身份证书有效时，所述第一路由设备确定对所述第二路由设备进行下一步身份认证；若否，或者所述第一路由设备查询到所述身份证书无效时，所述第一路由设备确定所述第二路由设备验证失败。采用本发明专利技术能够解决相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题。

【技术实现步骤摘要】

本专利技术涉及通信领域，具体而言，涉及路由设备身份认证方法及装置。
技术介绍
路由设备是互联协议IP网路中的核心设备。路由协议是网络的核心底层协议。为了保护路由消息的安全传输与发布，主要的路由协议都制定了相应的安全机制，主要是认证机制，包含了路由消息完整性认证和路由设备身份认证。路由协议中的路由消息完整性认证是通过消息验证码(Message Authentication Code,简称MAC)来实现的。路由协议中的路由设备身份认证的方式是默认的，也即采用预共享对称密钥(Pre-Shared Key,简称 PSK)的方式。该PSK的方式由管理员配置，将PSK配置在路由设备上，一般需要在每两个接口之间配置相同的密钥。该PSK —旦配置，就极少更新，除非发现该PSK遭受破坏，而固定不变的PSK是比较容易被攻击者破解的，也即遭受破坏。该PSK方式的优点是简单、方便，缺点是安全性较差，一旦PSK遭受破坏，伪造设备身份变得很容易，路由消息的传输与发布就没有安全保障可言。上述的PSK方式是带内的身份认证方式(in-band identity authentication),也即路由设备身份的验证是在路由协议中随同路由消息完整性的验证同时完成的。该方式是目前路由设备最常用的身份认证方式。另外一类是带外的身份认证方式(out-of-bandidentityauthentication),也即在路由协议之外完成路由设备的身份验证,通常是先完成路由设备的身份验证，然后发布路由消息。带外的路由设备身份认证方式又分为两种，即预共享非对称密钥(Asymmetric Key，也称为裸RSA密钥，Raw RSA Key)和数字证书(digitalcertificate)。该类带外的方式目前的路由设备不常用。预共享非对称密钥一般是对等体(peer)产生密钥对，然后共享公钥，由管理员将各公钥或/和公钥的哈希hash值输入到设备上，验证的时候一般采用数字签名的方式，也即用私钥签名、用公钥解密。该方法的优点是安全性较好，但是配置与更新较为困难，因为每台路由设备都需要配置全自治域(Autonomous System,简称AS)内所有路由设备的公钥或/和公钥的hash值，而一旦有新的路由设备加入网络，需要在全AS所有的路由设备上更新公钥或/和公钥的hash值，也即添加该新加入的路由设备相应的公钥或/和公钥的hash值。另外，该种认证方式无法在域间(或曰跨域，在不同的互联网服务提供商ISP之间)直接进行路由设备的身份验证，而只能对域内的路由设备进行身份验证。数字证书是基于非对称密钥的使用，用于设备认证的数字证书是PKI X. 509证书(PublicKey Infrastructure,公钥基础设施)，该证书通常包含设备的信息。该方法的优点是安全性好，能够实现域间的相互认证，缺点是费用和开销大，操作麻烦，需要设置及访问 CA (CertificationAuthority,认证机构)和 CRL (Certificate Revocation List,证书撤销列表)服务器等。相对于较底层的路由协议来说(与应用层协议相比较)，该种认证方式不完全适合，因为存在这样的情况，当路由还没有建立起来之前，路由设备访问相关的服务器存在一定的寻址与路由困难。针对相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术旨在提供一种路由设备身份认证方法及装置，以解决相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题。根据本专利技术的一个方面，提供了一种路由设备身份认证方法，应用于同一因特网服务提供商ISP所管辖域内的路由设备认证，包括第一路由设备收到第二路由设备的身份证书时，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书；若是，所述第一路由设备查询到所述身份证书有效时，所述第一路由设备确定对所述第二路由设备进行下一步身份认证；若否，或者所述第一路 由设备查询到所述身份证书无效时，所述第一路由设备确定所述第二路由设备验证失败。较优的，所述身份证书按如下步骤签发公认的认证机构CA或其下级CA为所述ISP签发一张用户身份证书，所述用户身份证书为PKI X. 509数字证书；所述ISP使用所述PKI X. 509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。较优的，所述ISP在其所管辖的每个路由设备本地开辟受保护的受信任区，利用所述受信任区存放所述PKI X. 509数字证书、该路由设备的身份证书以及该路由设备的身份证书的公钥所对应的私钥。较优的，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书，若是，所述第一路由设备查询到所述身份证书有效时，所述第一路由设备确定对所述第二路由设备进行下一步身份认证，若否，或者所述第一路由设备查询到所述身份证书无效时，所述第一路由设备确定所述第二路由设备验证失败，包括所述第一路由设备检查所述身份证书的颁发者是否是属于存储于本地的受信任的根证书；若是，所述第一路由设备检查所述身份证书是否有效，若所述身份证书无效，则所述第一路由设备停止验证，拒绝信任所述身份证书；若所述身份证书有效，所述第一路由设备确定对所述第二路由设备进行下一步身份认证；其中，所述第一路由设备确定对所述第二路由设备进行下一步身份认证包括对第一 hash值和第二 hash值进行匹配，若匹配，所述第一路由设备确定所述第二路由设备通过身份认证，若不匹配，所述第一路由设备确定所述第二路由设备验证失败；其中，所述第一 hash值根据所述身份证书上的除签名外的其他信息进行哈希hash运算获得；所述第二 hash值根据所述身份证书上的签名算法，利用所述根证书上的ISP的公钥值解密所述身份证书上的签名获得；若否，所述第一路由设备停止验证，拒绝信任所述身份证书。较优的，所述自定义身份证书包括下列至少之一颁发者，序列号，自治域号，签名算法标识符，有效期限，设备主体名，设备信息，设备使用的公钥信息，签名。较优的，所述自定义身份证书有效包括所述自定义身份证书在有效期限内且不属于被撤销的身份证书。较优的，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书之后，还包括当所述身份证书的公钥对应的私钥遭受破坏时，所述身份证书被撤销，由充当列表管理角色的路由设备管理并更新身份证书列表。较优的，所述由充当列表管理角色的路由设备管理并更新的身份证书列表，包括下列至少之一在每个路由设备本地存储一张受保护的设备撤销证书列表；在每个路由设备本地存储一张受保护的设备有效证书列表。较优的，所述由充当列表管理角色的路由设备管理并更新身份证书列表，包括所述充当列表管理角色的路由设备发 送消息通知其他路由设备，并与所述其他路由设备协商建立安全联盟，在所述安全联盟的保护下，所述充当列表管理角色的路由设备向所述其他路由设备发送更新后的列表证书。较优的，所述身份证书列表中存储设备证书的证书指纹，所述证书指纹是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种路由设备身份认证方法，其特征在于，应用于同一因特网服务提供商ISP所管辖域内的路由设备认证，包括 第一路由设备收到第二路由设备的身份证书时，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书； 若是，所述第一路由设备查询到所述身份证书有效时，所述第一路由设备确定对所述第二路由设备进行下一步身份认证； 若否，或者所述第一路由设备查询到所述身份证书无效时，所述第一路由设备确定所述第二路由设备验证失败。2.根据权利要求I所述的方法，其特征在于，所述身份证书按如下步骤签发 公认的认证机构CA或其下级CA为所述ISP签发一张用户身份证书，所述用户身份证书为PKI X. 509数字证书； 所述ISP使用所述PKI X. 509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。3.根据权利要求2所述的方法，其特征在于，所述ISP在其所管辖的每个路由设备本地开辟受保护的受信任区，利用所述受信任区存放所述PKIX. 509数字证书、该路由设备的身份证书以及该路由设备的身份证书的公钥所对应的私钥。4.根据权利要求I所述的方法，其特征在于，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书，若是，所述第一路由设备查询到所述身份证书有效时，所述第一路由设备确定对所述第二路由设备进行下一步身份认证，若否，或者所述第一路由设备查询到所述身份证书无效时，所述第一路由设备确定所述第二路由设备验证失败，包括 所述第一路由设备检查所述身份证书的颁发者是否是属于存储于本地的受信任的根证书； 若是，所述第一路由设备检查所述身份证书是否有效，若所述身份证书无效，则所述第一路由设备停止验证，拒绝信任所述身份证书；若所述身份证书有效，所述第一路由设备确定对所述第二路由设备进行下一步身份认证；其中，所述第一路由设备确定对所述第二路由设备进行下一步身份认证包括对第一 hash值和第二 hash值进行匹配，若匹配，所述第一路由设备确定所述第二路由设备通过身份认证，若不匹配，所述第一路由设备确定所述第二路由设备验证失败；其中，所述第一 hash值根据所述身份证书上的除签名外的其他信息进行哈希hash运算获得；所述第二 hash值根据所述身份证书上的签名算法，利用所述根证书上的ISP的公钥值解密所述身份证书上的签名获得； 若否，所述第一路由设备停止验证，拒绝信任所述身份证书。5.根据权利要求I至4任一项所述的方法，其特征在于，所述自定义身份证书包括下列至少之一 颁发者，序列号，自治域号，签名算法标识符，有效期限，设备主体名，设备信息，设备使用的公钥信息，签名。6.根据权利要求I至4任一项所述的方法，其特征在于，所述自定义身份证书有效包括所述自定义身份证书在有效期限内且不属于被撤销的身份证书。7.根据权利要求I所述的方法，其特征在于，所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书之后，还包括 当所述身份证书的公钥对应的私钥遭受破坏时，所述身份证书被撤销，由充...

【专利技术属性】
技术研发人员：梁小萍，韦银星，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：